 Kaspersky Lab w swojej informacji prasowej ostrzega przed nowym szkodliwym oprogramowaniem, które infekuje sektory startowe dysku, przez co jest w stanie uruchamiać się jeszcze przed startem systemu.
Nowy bootkit Rookit.Win32.Fisp.a rozprzestrzenia się w Internecie poprzez pewną chińską stronę pornograficzną. Jego główne niebezpieczeństwo polega właśnie na tym, że instalując się w sektorze rozruchowym dysku, uruchamia się przed startem systemu. Dzięki temu przejmuje on całkowitą kontrolę nad systemem, w tym przechwytuje podczas jego uruchamiania jedną z jego funkcji pozwalając mu podmieniać sterownik fips.sys swoim własnym kodem.
Przechwytuje on również wszystkie uruchamiane procesy w systemie, po czym wyszukuje w nich następujących tekstów charakteryzujących różne programy antywirusowe:
- Beike
- Beijing Rising Information Technology
- AVG Technologies
- Trend Micro
- BITDEFENDER LLC
- Symantec Corporation
- Kaspersky Lab
- ESET, spol
- Beijing Jiangmin
- Kingsoft Software
- 360.cn
- Keniu Network Technology (Beijing) Co
- Qizhi Software (beijing) Co
Modyfikuje on następnie znalezione procesy, przez co niektóre z programów mogą przestać działać prawidłowo. Po zakończeniu infekowania komputera, szkodnik wysyła hakerom informacje zebrane z komputera, w tym numer wersji systemu operacyjnego, a także adresy IP oraz MAC.
Instaluje on także trojany Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas, które służą do wykradania danych dotyczących kont z gier online.
|
